Controles de Security Hub para Amazon MSK - AWS Security Hub
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para Amazon MSK

Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon Managed Streaming for Apache Kafka MSK (Amazon).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::MSK::Cluster

Regla de AWS Config : msk-in-cluster-node-require-tls

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un MSK clúster de Amazon está cifrado en tránsito con HTTPS (TLS) entre los nodos intermediarios del clúster. El control falla si la comunicación de texto sin formato está habilitada para una conexión de nodo intermediario del clúster.

HTTPSofrece un nivel de seguridad adicional, ya que se utiliza TLS para mover datos y se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. De forma predeterminada, Amazon MSK cifra los datos en tránsito conTLS. Sin embardo, puede anular este valor predeterminado en el momento en que cree el clúster. Recomendamos utilizar conexiones cifradas en lugar de HTTPS (TLS) conexiones de nodos intermediarios.

Corrección

Para actualizar la configuración de cifrado de MSK los clústeres, consulte Actualización de la configuración de seguridad de un clúster en la Guía para desarrolladores de Amazon Managed Streaming for Apache Kafka.

[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada

Requisitos relacionados: NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::MSK::Cluster

Regla de AWS Config : msk-enhanced-monitoring-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un MSK clúster de Amazon tiene configurada la monitorización mejorada, especificada mediante un nivel de monitorización de al menosPER_TOPIC_PER_BROKER. Se produce un error en el control si el nivel de supervisión del clúster está establecido en DEFAULT o PER_BROKER.

El nivel de PER_TOPIC_PER_BROKER monitoreo proporciona información más detallada sobre el rendimiento del MSK clúster y también proporciona métricas relacionadas con la utilización de los recursos, como CPU el uso de la memoria. Esto ayuda a identificar los cuellos de botella en el rendimiento y los patrones de uso de los recursos para temas y agentes individuales. Esta visibilidad, a su vez, puede optimizar el rendimiento de sus agentes de Kafka.

Corrección

Para configurar la supervisión mejorada de un MSK clúster, complete los siguientes pasos:

  1. ¿Abrir la MSK consola Amazon en https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/.

  2. En el panel de navegación, seleccione Clusters (Clústeres). A continuación, elija una etiqueta de clúster.

  3. En Acción, seleccione Editar supervisión.

  4. Seleccione la opción Supervisión mejorada a nivel de tema.

  5. Elija Guardar cambios.

Para obtener más información sobre los niveles de supervisión, consulte Actualización de la configuración de seguridad de un clúster en la Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka.

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::KafkaConnect::Connector

Regla de AWS Config : msk-connect-connector-encrypted (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un conector de Amazon MSK Connect está cifrado en tránsito. Este control falla si el conector no está cifrado en tránsito.

Los datos en tránsito se refieren a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

Corrección

Puede habilitar el cifrado en tránsito al crear un conector MSK Connect. No puede cambiar la configuración de cifrado después de crear un conector. Para obtener más información, consulte Creación de un conector en la Guía para desarrolladores de Amazon Managed Streaming for Apache Kafka.